Kakvu vrstu rizika za kompanije nose klaud servisi za deljenje dokumenata?

Ovih dana je teško da se ne naiđe na vesti koje pišu o krađi podataka ili o njihovom curenju. Nedavno je i Appel-ov servis iCloud bio u centru pažnje zbog krađe privatnih fotografija jedne poznate ličnosti.

Apple naravno nije izuzetak. I drugi file-sync-and-share servisi kao što su Box i Dropbox su dospevali na naslovne stranice zbog nenamernih gubitaka podataka. Ovakvi slučajevi nameću pitanje da li ovi servisi uopšte treba da budu omogućeni unutar kompanija.

Bez obzira na ponavljanje ovakvih incidenata, kao i zabrinutosti koja se zbog toga javlja, korišćenje ovakvih servisa u kompanijama zapravo raste. Na osnovu istraživanja agencije Forester, skoro 25 procenata globalne informatičke radne snage koristi neki od file-sync-and-share servisa, što je značajno povećanje u odnosu na 5 procenata iz 2010. Ono što je u stvari zabrinjavajuće je to što korisnici postavljaju ove servise bez odobrenja ili kontrole IT odeljenja unutar kompanija.

Prema istraživanju jedne druge agencije razlog zašto zaposleni koriste ove servise, iako za to nisu dobili odobrenje, je da bi dobili funkcionalnosti koje im nisu dostupne kroz korporativne informatičke servise. Šta više, prema ovim istraživanjima koja su sprovedena među 5000 stalno-zaposlenih ispostavilo se da su kućna rešenja najčešće korišćeni file-sync-and-share servisi unutar kompanija.  Njih 89 procenata je priznalo da koriste kućna rešenja na poslu za koja nisu dobili odobrenje od IT sektora, dok je samo 9 procenata tvrdilo da su zadovoljni sa komercijalnim rešenjima koja je obezbedila kompanija.

Sa ovako lošim korisničkim iskustvom nije teško razumeti zašto zaposleni radije koriste rešenja za kućne korisnike. Međutim, rizik koji ovakavo postupanje nosi sa sobom može da prevagne nad prednostima. Zaposleni koji koriste ovakva rešenja kompromituju bezbednost podataka, kao i poslovanje kompanije za koju rade.

1. Kako „privatna posla“ kompromituju korporativnu bezbednost

Deljenje fotografija sa letovanja ili sa venčanja kroz file-sync-and-share servis namenjen kućnim korisnicima je daleko od narušavanja korporativne bezbednosti, ali problematika najčešće nastaje kada zaposleni koriste ovu tehnologiju za deljenje službenih dokumenata. U ovim problematičnim slučajevima nije tehnologija uzrok problema, već je presudan faktor ljudska greška. Da biste stvorili jasnu sliku o značaju ovog problema probajte da zamislite sledeći scenario: kolege na poslu dele direktorijum u Dropbox-u koji su postavili na svoje privatne Dropbox naloge kako bi uvek imali ažurnu verziju dokumenta na kome oboje rade, međutim prilikom kopiranja jednog dokumenta sa desktopa u pomenti Dropbox deljeni direktorijum koleginica greškom dokument snima u direktorijum koji deli sa prijateljicom koja je ujedno i klijent, igrom slučaja prijateljica radi baš za kompaniju za koju ovo dvoje kolega priprema ponudu čiji se svi elementi nalaze u pomenutom dokumentu koji je nesmotrena drugarica snimila u pogrešan direktorijum. U konkretnom slučaju ispostavilo se da je prijateljica bila lojalnija prema drugarici nego prema poslodavcu, pa nije iskoristila priliku koja se ukazala, već je uredno obrisala dokument i obavestila drugaricu o greški, ali za bezbednost podataka potrebno je ipak mnogo više od dobre karme. Još jedna bezbednosna pretnja dolazi kroz samu činjenicu da kada zaposleni prebaci službeni dokument na svoj privatni nalog on raspolaže njime kao svojim i kompanija nema nikakav nadzor nad kretanjem takvog dokumenta.

Istraživanje koje je sproveo Ponemon Institut na  3300 zaposlenih u sedam država otkrilo je da čak 37 procenata koristi file-sync-and-share  servise poput Dropbox-a i Google Drive-a na poslu, a većina njih je priznala da deli korporativne dokumente poverljive sadržine preko svojih privatnih naloga na ovim servisima bez znanja svojih pretpostavljenih.

2. Nedostatak korporativnog nadzora i kontrole nad cirkulacijom dokumenata

Nedostatak nadzora i kontrole nad dokumentima koji se dele pomoću pomenutih servisa dovode organizacije i njihovo poslovanje pod dodatne rizike. Da konkretizujemo, zamislite šta može da se dogodi kada zaposleni koji je držao važne poslovne dokumente na svom privatnom Dropbox nalogu napusti kompaniju. Svesno ili ne, taj zaposleni odnosi vašu bitnu poslovnu dokumentaciju van vašeg domašaja, a možda i u ruke konkurencije ili nekoga ko može da napravi štetu.

3. Lokacija podataka i ovlašćenja državnih organa

Još jedna jako bitna briga za kompanije je državna kontrola nad podacima. Fizička lokacija servera na kojima se nalaze podaci, kao i zemlja registracije kompanije koja se bavi hostingom su ponekad ključni faktori kada su u pitanju vladina ovlašćenja da pristupe podacima. Na primer, pojedine države poput Indonezije imaju propise po kojima državni organi imaju pravo u uvid podataka koji prelaze državne granice. Dakle, da biste se osigurali da “veliki brat” neće imati uvid u vaše poverljive korporativne podatke potrebno je da znate gde je hosting kompanija registrovana, gde se fizički nalaze serveri na kojima će se nalaziti vaši podaci, kao i bezbednosnu politiku i politiku zaštite privatnosti kompanije čije ćete rešenje implementirati za upravljanje deljenim dokumentima.

4. Stvaranje “data silosa”

Osim problema u vezi sa bezbednošću file-sync-and-share servisi za kućne korisnike mogu da stvore problem i sa radnom produktivnošću. Kako se to dešava, naime, svi ovi servisi su jednostavni za korišćenje i korisnici ih lako usvajaju kao alate, ali najčešće ne koriste svi ista rešenja, već neko koristi Dropbox, neko Google drive ili neko treće rešenje, što dovodi do kreiranja takozvanih data silosa, gde podaci ostaju zarobljeni bez mogućnosti da im neko sa strane pristupi. Podatak dobijen kroz jedno od pomenutih istraživanja pokazao je da čak 29 procenata ispitanika koristi tri ili više file-sync-and-share servisa istovremeno kako bi obavili posao. Početna ideja da saradnici jednostavno dele dokumenta i rade na njima, pretvara se u njenu potpunu suprotnost, stvaranjem višestrukih silosa podataka što pravi kamen spoticanja za produkvitnost.

Zaključak je jasan: neophodno je da kućna rešenja koja zaposleni koriste na poslu budu zamenjena profesionalnim komercijalnim rešenjima, ali ta rešenja moraju da obezbede jednostavnost i lakoću korišćenja za zaposlene sa jedne strane, ali i sigurnost kojom će kompanije zaštiti svoju imovinu sa druge.

Članak je preuzet sa sajta Help Net Security, ukoliko želite da vidite izvorni tekst kliknite na sledeći link

Ukoliko ste prepoznali neki od problema u svojoj kompaniji u prethodnom tekstu i želite besplatnu konsultaciju kako da poboljšate informatičku bezbednost, popunite ovu kontakt formu, u polje za komentar upišite “Informatička bezbednost”. Ukoliko samo želite da primate naše newsletter-e polje za komentar ostavite prazno.

[easy_contact_forms fid=2]